CVE-2023-36053
CVE-2023-36053
En resumen
Los validadores de correo y URL de Django pueden bloquearse o consumir excesiva CPU cuando reciben nombres de dominio muy largos con muchos rótulos, permitiendo que un atacante desactive la aplicación.
Detalle técnico
EmailValidator y URLValidator de Django utilizan expresiones regulares vulnerables a backtracking catastrófico al procesar URLs o correos con numerosas etiquetas de dominio. Un atacante puede enviar entradas con estructuras de dominio muy grandes para provocar coincidencia exponencial en la regex, causando denegación de servicio sin requerir autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
In Django 3.2 before 3.2.20, 4 before 4.1.10, and 4.2 before 4.2.3, EmailValidator and URLValidator are subject to a potential ReDoS (regular expression denial of service) attack via a very large number of domain name labels of emails and URLs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://docs.djangoproject.com/en/4.2/releases/security/https://groups.google.com/forum/#%21forum/django-announcehttps://lists.debian.org/debian-lts-announce/2023/07/msg00022.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NRDGTUN4LTI6HG4TWR3JYLSFVXPZT42A/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XG5DYKPNDCEHJQ3TKPJQO7QGSR4FAYMS/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/https://www.debian.org/security/2023/dsa-5465https://www.djangoproject.com/weblog/2023/jul/03/security-releases/